CN112817818A

CN112817818A - 边缘安全节点对云上部署运行程序进行时间监视的方法

Info

Publication number: CN112817818A
Application number: CN202110104352.1A
Authority: CN
Inventors: 唐涛; 李开成; 马连川; 张帆
Original assignee: Beijing Jiaotong University
Current assignee: Beijing Jiaotong University
Priority date: 2021-01-26
Filing date: 2021-01-26
Publication date: 2021-05-18
Anticipated expiration: 2041-01-26
Also published as: CN112817818B

Abstract

本发明提供了一种边缘安全节点对云上部署运行程序进行时间监视的方法。包括：当边缘安全节点和云上部署运行程序都处于上电模式时，边缘安全节点所控制的一组云上的所有云上部署运行程序向边缘安全节点发送包含程序控制周期长度及程序控制周期的从属微周期个数、长度数值的时间监视请求数据帧；边缘安全节点确定所有云上部署运行程序发送的时间监视请求数据帧正确且一致后，则认可时间监视请求数据帧，边缘安全节点和云上部署运行程序均进入周期控制模式，开启边缘安全节点和云上部署运行程序双向时间监视功能。本发明给出了故障安全的轨道交通列车运行控制系统结合非故障安全的云计算后，边缘安全节点和云上部署运行程序实现时间监视的方法。

Description

边缘安全节点对云上部署运行程序进行时间监视的方法

技术领域

本发明涉及轨道交通运行控制技术领域，尤其涉及一种边缘安全节点对云上部署运行程序进行时间监视的方法。

背景技术

轨道交通作为国家经济发展的命脉，随着新一代产业变革的发展，以云计算、互联网、大数据、物联网、新能源、人工智能等为代表的新兴技术与轨道交通加速深度融合，高速化、智能化、互联互通将成为新一代轨道交通系统的发展方向。

云计算提供一种按需提供动态伸缩的廉价服务。具备海量存储能力，空间无限，资源灵活，能够减少设备数量，节约成本。具有强大的计算能力，能提高现有的计算使用率。其可扩展性强，能够根据用户的需求对规模进行动态扩展或缩小。除此之外，云计算可以具有高可靠性，使用数据多副本容错以及计算节点同构可互换等方法来保证云计算服务的可靠性。将云计算技术应用于轨道交通列控系统乃至轨道交通信号系统是一种技术上的必然。

云计算的软硬件基础都是基于商用现货产品(Commercial Off-The-Shelf，COTS)，是典型的非故障安全计算环境。

在轨道交通列控系统乃至轨道交通信号系统中本地设备和云环境之间设置边缘安全节点，上述本地设备为安全域，包括地面OC(Object Controller,目标控制器)或车载OC等，云环境为非安全域，包括云计算设备等。边缘安全节点起到隔离安全域和非安全域的作用。边缘安全节点为安全设备，既可位于地面，也可位于列车上，其安全完整性等级与既有列控设备一致，满足故障导向安全特性。

云计算作为典型的非故障安全计算环境，其中的控制节点或计算节点分布在广泛的物理位置或不同的虚拟机中，一些安全防御能力比较薄弱的节点很容易被入侵乃至劫持而不再正确执行应该执行的软件功能。这就要求，按照EN50129标准的要求，边缘安全节点需要对云上部署运行程序进行程序序列监测(Program sequence monitoring)。

根据EN50129标准，程序序列监测包括时间监视(Temporal monitoring)和逻辑监视(Logical monitoring)。时间监视是指周期触发有独立时基(separate time base)的外部计时部件(例如看门狗计时器)以监控计算机行为和程序顺序的合理性，因此在程序中正确地放置触发点(the triggering points)是很重要的。逻辑监视是指单个程序片段的正确顺序通过软件计数流程(software counting procedure)、软件密钥流程(software keyprocedure)或外部监控设备进行监控，因此在程序中正确地放置检查点(the checkingpoints)是很重要的。时间和逻辑监控可以结合使用。例如一个监控程序流程的时间设备当且因当程序片段的顺序也被正确执行才能被重新触发。

目前，现有技术中对云上部署运行程序进行时间监视方法的方法包括：图1为现有技术中的一种周期控制的工作流程图，如图1所示，控制周期分为数据输入、应用处理和数据输出三个典型阶段，在每个阶段设置一个同步点，安全管理层和2取2执行层相互配合来完成任务级同步的方法。

上述现有技术中对云上部署运行程序进行时间监视方法的方法的缺点为：该方法中的控制周期分为数据输入、应用处理和数据输出三个典型阶段，是一种安全管理层的硬件端固定分配控制周期和从属的数据输入、应用处理、数据输出三个微周期数值，从而单向控制两个2取2执行层处理器模块软件程序周期控制和从属的三个微周期。

如果需要更改控制周期和从属的数据输入、应用处理、数据输出三个微周期数值，只能停止正常2取2功能，修改安全管理层的硬件端配置数据后，重新上电才可能按照新设置的控制周期和从属的数据输入、应用处理、数据输出三个微周期数值实现新的时间监视功能。

2取2执行层处理器模块软件程序周期控制和从属的数据输入、应用处理、数据输出三个微周期只能受安全管理层硬件端固定分配的控制，2取2执行层处理器模块软件不能主动要求调整程序周期控制和从属的数据输入、应用处理、数据输出三个微周期。

发明内容

本发明的实施例提供了一种边缘安全节点对云上部署运行程序进行时间监视的方法，以实现对云上部署运行程序进行有效地时间监视。

为了实现上述目的，本发明采取了如下技术方案。

一种边缘安全节点对云上部署运行程序进行时间监视的方法，包括：

当边缘安全节点和云上部署运行程序都处于上电模式时，所述边缘安全节点所控制的一组云上的所有云上部署运行程序向所述边缘安全节点发送包含程序控制周期长度及程序控制周期的从属微周期个数、长度数值的时间监视请求数据帧；

所述边缘安全节点确定该组云上的所有云上部署运行程序发送的时间监视请求数据帧正确且一致后，则边缘安全节点认可所述时间监视请求数据帧包含的程序控制周期长度数值及程序控制周期的从属微周期个数、长度数值；

所述边缘安全节点和所述云上部署运行程序均进入周期控制模式，并开启边缘安全节点和云上部署运行程序双向时间监视功能。

优选地，所述时间监视请求数据帧包含时间监视请求数据帧标志、时间监视请求数据帧长度、控制周期长度值、控制周期从属微周期个数N、控制周期从属微周期1长度值、…、控制周期从属微周期N长度值和时间监视请求数据帧校验序列。

优选地，所述时间监视请求数据帧长度计值从时间监视请求数据帧标志起，一直计算到时间监视请求数据帧校验序列止，如果时间监视请求数据帧长度不正确，则该时间监视请求数据帧无效；

所述时间监视请求数据帧校验序列校验范围从时间监视请求数据帧标志起，一直计算到控制周期从属微周期N长度值止，如果时间监视请求数据帧校验不正确，则该时间监视请求数据帧无效；

所述控制周期长度值应等于控制周期从属微周期1长度值+…+控制周期从属微周期N之和，且不能为零，否则，该时间监视请求数据帧无效。

所述控制周期长度值不等于零，而控制周期从属微周期个数N等于零，说明控制周期不划分微周期；此时，控制周期从属微周期1长度值、…、控制周期从属微周期N长度值应都设置为零，否则，该时间监视请求数据帧无效。

优选地，若云上部署运行程序在设定的一段时间内没有向边缘安全节点发送时间监视请求数据帧或时间监视请求数据帧无效，则边缘安全节点将停留在上电模式，直到超时，转入出错待机模式。

优选地，在周期控制模式下，程序控制周期长度数值不得改变；如果正确设置了控制周期从属微周期个数，则程序控制周期从属微周期个数、长度数值不得改变，直到下一轮边缘安全节点和云上部署运行程序都处于上电模式时，才修改为新的程序控制周期长度及其从属微周期个数、长度数值。

优选地，所述边缘安全节点和云上部署运行程序双向时间监视过程包括：

在周期控制模式下，如果控制周期不划分微周期：

5)第一个控制周期开始时刻，边缘安全节点向一组由其控制实现一个完整列控应用的多个云上部署运行程序发送通知相应的控制周期开始数据帧，边缘安全节点和云上部署运行程序无条件认可此控制周期开始信息，边缘安全节点和云上部署运行程序都进入周期控制模式；

6)边缘安全节点在第一个控制周期内，监视是否正确收到多个云上部署运行程序发送的此控制周期执行正确应答数据帧。

正确收到，则发送下一个控制周期开始数据帧；

一旦超时，未收到控制周期执行正确应答数据帧，或收到错误的控制周期执行正确应答数据帧，则启动安全反应，并转入出错待机模式。

7)多个云上部署运行程序回答了第一个控制周期执行正确应答数据帧后，则在本控制周期结束时刻前后一段时间窗口内，开启对边缘安全节点发送的下一控制周期开始数据帧的监视；

8)以后的控制周期依次循环上述2和3的步骤，经过边缘安全节点和多朵云上部署运行程序双向时间监视确认无错以后，实现不划分微周期的周期控制模式下的时间监视功能。

在周期控制模式下，如果控制周期划分微周期：

5)第一个控制周期从属微周期1开始时刻，边缘安全节点向一组由其控制实现一个完整列控应用的多个云上部署运行程序发送通知相应的控制周期从属微周期1开始数据帧，边缘安全节点和云上部署运行程序无条件认可此微周期开始信息，边缘安全节点和云上部署运行程序都进入周期控制模式；

6)边缘安全节点在第一个控制周期从属微周期1内，监视是否正确收到多个云上部署运行程序发送的微周期1执行正确应答数据帧；

正确收到，则发送第一个控制周期从属微周期2开始数据帧；

一旦超时，未收到控制周期执行正确应答数据帧，或收到错误的控制周期执行正确应答数据帧，则启动安全反应，并转入出错待机模式；

7)多个云上部署运行程序回答了第一个控制周期从属微周期1执行正确应答数据帧后，则在微周期结束时刻前后一段时间窗口内，开启对边缘安全节点发送的第一个控制周期从属微周期2开始数据帧的监视；

8)以后的控制周期依次循环上述2和3的步骤，经过边缘安全节点和多朵云上部署运行程序双向时间监视确认无错以后，实现划分微周期的周期控制模式下的时间监视功能。

优选地，当一个边缘安全节点控制多组云上部署运行程序实现多个完整的列控应用时，每组云采用2取2、3取2或者2乘2取2结构，不同云组的云上部署运行程序实现不同完整的列控应用时采用不同结构。

优选地，当一个边缘安全节点控制不同云组的云上部署运行程序实现不同完整的列控应用时，在边缘安全节点内部并行设置云组数量的独立控制功能模块；或者，在边缘安全节点内部直接实现能够控制多个云组的单一硬件功能模块，所述单一硬件功能模块在共同时基的驱动下，基于分时控制机制实现控制多个云组功能，时基信号周期为所有控制周期、微周期的公约数。

由上述本发明的实施例提供的技术方案可以看出，本发明实施例提出的时间监视方法能够解决云上部署运行程序主动要求边缘安全节点调整程序周期控制及其从属的微周期数值，同时实现边缘安全节点和云上部署运行程序双向时间监视的功能，进一步增强时间监视的能力。

本发明附加的方面和优点将在下面的描述中部分给出，这些将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为现有技术中的一种周期控制的工作流程图；

图2为本发明实施例提供的一种控制周期不划分微周期的周期控制模式转换关系示意图；

图3为本发明实施例提供的一种控制周期划分微周期的周期控制模式转换关系示意图；

图4为本发明实施例提供的一个边缘安全节点控制2朵云构成的一组云原理示意图；

图5为本发明实施例提供的一个边缘安全节点控制3朵云构成的一组云原理示意图；

图6为本发明实施例提供的一个边缘安全节点控制4朵云构成的一组云原理示意图；

图7为本发明实施例提供的一个边缘安全节点通过并行设置独立控制功能模块控制多组云原理示意图；

图8为本发明实施例提供的一个边缘安全节点通过单一硬件功能模块控制多组云原理示意图。

具体实施方式

下面详细描述本发明的实施方式，所述实施方式的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施方式是示例性的，仅用于解释本发明，而不能解释为对本发明的限制。

本技术领域技术人员可以理解，除非特意声明，这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是，本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件，但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解，当我们称元件被“连接”或“耦接”到另一元件时，它可以直接连接或耦接到其他元件，或者也可以存在中间元件。此外，这里使用的“连接”或“耦接”可以包括无线连接或耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的任一单元和全部组合。

本技术领域技术人员可以理解，除非另外定义，这里使用的所有术语(包括技术术语和科学术语)具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是，诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义，并且除非像这里一样定义，不会用理想化或过于正式的含义来解释。

为便于对本发明实施例的理解，下面将结合附图以几个具体实施例为例做进一步的解释说明，且各个实施例并不构成对本发明实施例的限定。

本发明实施例提出了提出故障安全的轨道交通列车运行控制系统结合非故障安全的云计算后，边缘安全节点和云上部署运行程序实现时间监视的改进方法。

在本发明实施例的方案中，程序控制周期长度及其从属的微周期个数、长度可变；云上部署运行程序能够主动要求边缘安全节点调整程序控制周期长度及其从属的微周期个数、长度数值；边缘安全节点和云上部署运行程序双向时间监视。

1本发明的基本原理

1.1程序控制周期长度及其从属的微周期个数、长度可变

●首先，边缘安全节点和云上部署运行程序都处于上电初始状态时，边缘安全节点和云上部署运行程序都进入上电模式，云上部署运行程序向边缘安全节点发送包含程序控制周期长度及其从属微周期个数、长度数值的时间监视请求数据帧。

●时间监视请求数据帧至少应包含时间监视请求数据帧标志、时间监视请求数据帧长度、控制周期长度值、控制周期从属微周期个数N、控制周期从属微周期1长度值、…、控制周期从属微周期N长度值、时间监视请求数据帧校验序列，周期和微周期长度值优选以毫秒计值。

●时间监视请求数据帧长度计值优选从时间监视请求数据帧标志起，一直计算到时间监视请求数据帧校验序列止，时间监视请求数据帧长度应正确，否则，该时间监视请求数据帧无效。

●时间监视请求数据帧校验序列校验范围优选从时间监视请求数据帧标志起，一直计算到控制周期从属微周期N长度值止，时间监视请求数据帧校验序列优选采用CRC-16。时间监视请求数据帧校验应正确，否则，该时间监视请求数据帧无效。

●控制周期长度值应等于控制周期从属微周期1长度值+…+控制周期从属微周期N之和，且不能为零，否则，该时间监视请求数据帧无效。

●控制周期长度值不等于零，而控制周期从属微周期个数N等于零，说明控制周期不划分微周期；此时，控制周期从属微周期1长度值、…、控制周期从属微周期N长度值应都设置为零，否则，该时间监视请求数据帧无效。

●边缘安全节点所控制的一组云的所有云上部署运行程序的发送的时间监视请求数据帧应正确并一致，否则，所有的时间监视请求数据帧都视为无效。

●若云上部署运行程序在设定的一段时间内没有向边缘安全节点发送时间监视请求数据帧或时间监视请求数据帧无效，边缘安全节点将停留在上电模式，直到超时，转入出错待机模式。

1.2云上部署运行程序能够主动要求边缘安全节点调整程序控制周期长度及其从属的微周期个数、长度数值

●当且仅当边缘安全节点和云上部署运行程序都处于上电模式时，该边缘安全节点所控制的该组云的所有云上部署运行程序向边缘安全节点发送正确且一致的时间监视请求数据帧，则边缘安全节点和云上部署运行程序无条件认可此时间监视请求数据帧包含的程序控制周期长度数值；如果正确设置了控制周期从属微周期个数，亦无条件认可控制周期从属微周期个数、长度数值，然后均进入周期控制模式，并开启边缘安全节点和云上部署运行程序双向时间监视功能。

●周期控制模式下，上述程序控制周期长度数值不得改变；如果正确设置了控制周期从属微周期个数，上述程序控制周期从属微周期个数、长度数值不得改变。

●直到下一轮边缘安全节点和云上部署运行程序都处于上电模式时，才可能修改为新的程序控制周期长度及其从属微周期个数、长度数值。

●边缘安全节点和云上部署运行程序设置三种工作模式：上电模式、周期控制模式、出错待机模式，其转换关系如图2所示，如果控制周期划分微周期，周期控制模式被细分为控制周期从属微周期1模式、…、控制周期从属微周期N模式，其转换关系如图3所示。

1.3边缘安全节点和云上部署运行程序双向时间监视

●周期控制模式下，如果控制周期不划分微周期：

1)第一个控制周期开始时刻，边缘安全节点向一组由其控制实现一个完整列控应用的多个云上部署运行程序发送通知相应的控制周期开始数据帧，边缘安全节点和云上部署运行程序无条件认可此控制周期开始信息，边缘安全节点和云上部署运行程序都进入周期控制模式。

2)边缘安全节点在第一个控制周期内，监视是否正确收到多个云上部署运行程序发送的此控制周期执行正确应答数据帧。

◆正确收到，则发送下一个控制周期开始数据帧；

◆一旦超时(未收到控制周期执行正确应答数据帧，或收到错误的控制周期执行正确应答数据帧)，则启动安全反应，并转入出错待机模式。

3)多个云上部署运行程序回答了第一个控制周期执行正确应答数据帧后，则在本控制周期结束时刻前后一段时间窗口(优选±10％)内，开启对边缘安全节点发送的下一控制周期开始数据帧的监视。

◆此数据帧在本控制周期结束时间窗口内正确到达，则执行下一控制周期软件功能，并在控制周期软件功能正确执行完毕后，向边缘安全节点发送的此控制周期执行正确应答数据帧；

◆一旦超时(未收到下一控制周期开始数据帧，或收到错误的下一控制周期开始数据帧)，则启动安全反应，并转入出错待机模式。

4)以后的控制周期依次循环上述2和3的步骤，经过边缘安全节点和多朵云上部署运行程序双向时间监视确认无错以后，实现不划分微周期的周期控制模式下的时间监视功能。

●周期控制模式下，如果控制周期划分微周期：

1)第一个控制周期从属微周期1开始时刻，边缘安全节点向一组由其控制实现一个完整列控应用的多朵云上部署运行程序发送通知相应的控制周期从属微周期1开始数据帧，边缘安全节点和云上部署运行程序无条件认可此微周期开始信息，边缘安全节点和云上部署运行程序都进入周期控制模式。

2)边缘安全节点在第一个控制周期从属微周期1内，监视是否正确收到多朵云上部署运行程序发送的微周期1执行正确应答数据帧。

◆正确收到，则发送第一个控制周期从属微周期2开始数据帧；

3)多朵云上部署运行程序回答了第一个控制周期从属微周期1执行正确应答数据帧后，则在微周期结束时刻前后一段时间窗口(优选±10％)内，开启对边缘安全节点发送的第一个控制周期从属微周期2开始数据帧的监视。

◆在第一个控制周期从属微周期2结束时间窗口内正确到达，则执行第一个控制周期从属微周期2的软件功能，并在第一个控制周期从属微周期2的软件功能正确执行完毕后，向边缘安全节点发送的此控制周期从属微周期2执行正确应答数据帧；

◆一旦超时(未收到第一个控制周期从属微周期2开始数据帧，或收到错误的第一个控制周期从属微周期2开始数据帧)，则启动安全反应，并转入出错待机模式。

◆依次循环，直到第一个控制周期从属微周期N。

4)以后的控制周期依次循环上述2和3的步骤，经过边缘安全节点和多朵云上部署运行程序双向时间监视确认无错以后，实现划分微周期的周期控制模式下的时间监视功能。

●当边缘安全节点和云上部署运行程序都处于上电初始状态时，该边缘安全节点所控制的该组云的所有云上部署运行程序向边缘安全节点发送正确且一致的时间监视请求数据帧，则边缘安全节点和云上部署运行程序无条件认可此时间监视请求数据帧而不执行上述双向时间监视功能。

●周期控制模式下，如果控制周期不划分微周期，第一个控制周期开始时刻，边缘安全节点和云上部署运行程序无条件认可此控制周期开始数据帧，而不执行上述双向时间监视功能。

●周期控制模式下，如果控制周期划分微周期，第一个控制周期从属微周期1开始时刻，边缘安全节点和云上部署运行程序无条件认可此控制周期从属微周期1开始数据帧，而不执行上述双向时间监视功能。

●所述的边缘安全节点和云上部署运行程序的协同控制下，任何一方进入出错待机模式，另一方也必然在一定时间后进入出错待机模式。

●控制周期开始数据帧至少应包含数据帧标志、数据帧长度、控制周期序列号、控制周期开始标志、数据帧校验序列。

●控制周期执行正确应答数据帧至少应包含数据帧标志、数据帧长度、控制周期序列号、控制周期执行正确应答标志、数据帧校验序列。

●控制周期从属微周期开始数据帧应包含数据帧标志、数据帧长度、控制周期序列号、微周期序列号、微周期开始标志、数据帧校验序列。

●控制周期从属微周期执行正确应答数据帧至少应包含数据帧标志、数据帧长度、控制周期序列号、微周期序列号、微周期执行正确应答标志、数据帧校验序列。

●所述的数据帧长度计值优选从数据帧标志起，一直计算到数据帧校验序列止，数据帧长度应正确，否则，该数据帧无效。

●所述的数据帧校验序列校验范围优选从数据帧标志起，一直计算到数据帧校验序列除去数据帧校验序列的最后数据止，数据帧校验序列优选采用CRC-16。数据帧校验应正确，否则，该数据帧无效。

2本发明的具体实施举例

2.1一个边缘安全节点控制一组云上部署运行程序实现一个完整的列控应用

●当一个边缘安全节点控制一组云上部署运行程序时，优选采用基于2取2、3取2、2乘2取2结构实现一个完整的列控应用。

●当基于2取2结构实现一个完整的列控应用时：

■一组云由一个边缘安全节点控制实现一个完整列控应用需要2朵相互隔离的云，即2朵相互隔离的云构成一组云，如图4所示。

■图4中虚线代表云组内的2朵云之间可能的数据交换。

■该边缘安全节点要向这2朵云上部署运行程序都正确发送控制周期开始数据帧；如果控制周期划分微周期，则正确发送控制周期从属微周期开始数据帧。

■该边缘安全节点要正确收到这2朵云上部署运行程序发送的控制周期执行正确应答数据帧；如果控制周期划分微周期，则正确收到发送控制周期从属微周期执行正确应答数据帧。

●当基于3取2结构实现一个完整的列控应用时：

■一组云由一个边缘安全节点控制实现一个完整列控应用需要3朵相互隔离的云，即3朵相互隔离的云构成一组云，如图5所示。

■图5中虚线代表云组内的3朵云之间可能的数据交换。

■该边缘安全节点要向这3朵云上部署运行程序都正确发送控制周期开始数据帧；如果控制周期划分微周期，则正确发送控制周期从属微周期开始数据帧。

■该边缘安全节点要正确收到这3朵云上部署运行程序发送的控制周期执行正确应答数据帧；如果控制周期划分微周期，则正确收到发送控制周期从属微周期执行正确应答数据帧。

●当基于2乘2取2结构实现一个完整的列控应用时：

■一组云由一个边缘安全节点控制实现一个完整列控应用需要4朵相互隔离的云，即4朵相互隔离的云构成一组云，如图6所示。

■图6中虚线代表云组内的4朵云之间可能的数据交换。

■该边缘安全节点要向这4朵云上部署运行程序都正确发送控制周期开始数据帧；如果控制周期划分微周期，则正确发送控制周期从属微周期开始数据帧。

■该边缘安全节点要正确收到这4朵云上部署运行程序发送的控制周期执行正确应答数据帧；如果控制周期划分微周期，则正确收到发送控制周期从属微周期执行正确应答数据帧。

2.2一个边缘安全节点控制多组云上部署运行程序实现多个完整的列控应用

●当一个边缘安全节点控制多组云上部署运行程序实现多个完整的列控应用时，每组云仍优选采用2取2、3取2、2乘2取2结构，但不同云组的云上部署运行程序实现不同完整的列控应用时可以采用不同结构。

●一个边缘安全节点控制不同云组的云上部署运行程序实现不同完整的列控应用时，第一种方法是在边缘安全节点内部并行设置云组数量的独立控制功能模块，如图6所示：

■这些独立控制功能模块硬件相互独立，每一个控制功能模块控制一个云组。其具体描述参照1节。

■这些独立控制功能模块所对应的安全冗余架构以及工作模式可以相同也可以不同。

●一个边缘安全节点控制不同云组的云上部署运行程序实现不同完整的列控应用时，第二种方法是在边缘安全节点内部直接实现能够控制多个云组的单一硬件功能模块，如图7所示：

■图8为本发明实施例提供的一个边缘安全节点通过单一硬件功能模块控制多组云原理示意图。单一硬件功能模块在共同时基的驱动下，基于分时控制机制实现控制多个云组功能，时基信号周期应为所有控制周期、微周期的公约数，优选1ms。

■对应每个云组控制，都设置独立的有限状态机控制模式转移，有限状态机控制具体描述参照1节。

■在时基信号到达时，单一硬件功能模块扫描每个云组控制有限状态机的状态，根据有限状态机当前状态和所接收到的每个云组的每朵云发送的数据帧，所述数据帧包括时间监视请求数据帧、控制周期开始数据帧、控制周期从属微周期的开始数据帧，判断所述有限状态机该进入的下一状态。

■边缘安全节点的单一硬件功能模块判断所述有限状态机下一状态之后，组成相应云组的程序模式控制帧，并发送给相应云组的每朵云。

本发明的有益效果在于，本发明实施例不仅给出了实现边缘安全节点对云上部署运行的程序进行时间监视的方法，该方法更是一种符合EN50129标准的实现程序序列监测(Program sequence monitoring)中时间监视(Temporal monitoring)的通用方法，可适应各种软件程序，可移植性和适应性较既有方法更有优势；能够解决云上部署运行程序主动要求边缘安全节点调整程序周期控制及其从属的微周期数值，同时实现边缘安全节点和云上部署运行程序双向时间监视的功能，进一步增强时间监视的能力。

本领域普通技术人员可以理解：附图只是一个实施例的示意图，附图中的模块或流程并不一定是实施本发明所必须的。

通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置或系统实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。

Claims

1.一种边缘安全节点对云上部署运行程序进行时间监视的方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述时间监视请求数据帧包含时间监视请求数据帧标志、时间监视请求数据帧长度、控制周期长度值、控制周期从属微周期个数N、控制周期从属微周期1长度值、…、控制周期从属微周期N长度值和时间监视请求数据帧校验序列。

3.根据权利要求2所述的方法，其特征在于，所述时间监视请求数据帧长度计值从时间监视请求数据帧标志起，一直计算到时间监视请求数据帧校验序列止，如果时间监视请求数据帧长度不正确，则该时间监视请求数据帧无效；

4.根据权利要求1所述的方法，其特征在于，若云上部署运行程序在设定的一段时间内没有向边缘安全节点发送时间监视请求数据帧或时间监视请求数据帧无效，则边缘安全节点将停留在上电模式，直到超时，转入出错待机模式。

5.根据权利要求1所述的方法，其特征在于，在周期控制模式下，程序控制周期长度数值不得改变；如果正确设置了控制周期从属微周期个数，则程序控制周期从属微周期个数、长度数值不得改变，直到下一轮边缘安全节点和云上部署运行程序都处于上电模式时，才修改为新的程序控制周期长度及其从属微周期个数、长度数值。

6.根据权利要求1至5任一项所述的方法，其特征在于，所述边缘安全节点和云上部署运行程序双向时间监视过程包括：

在周期控制模式下，如果控制周期不划分微周期：

1)第一个控制周期开始时刻，边缘安全节点向一组由其控制实现一个完整列控应用的多个云上部署运行程序发送通知相应的控制周期开始数据帧，边缘安全节点和云上部署运行程序无条件认可此控制周期开始信息，边缘安全节点和云上部署运行程序都进入周期控制模式；

正确收到，则发送下一个控制周期开始数据帧；

3)多个云上部署运行程序回答了第一个控制周期执行正确应答数据帧后，则在本控制周期结束时刻前后一段时间窗口内，开启对边缘安全节点发送的下一控制周期开始数据帧的监视；

7.根据权利要求1至5任一项所述的方法，其特征在于，所述边缘安全节点和云上部署运行程序双向时间监视过程包括：

在周期控制模式下，如果控制周期划分微周期：

1)第一个控制周期从属微周期1开始时刻，边缘安全节点向一组由其控制实现一个完整列控应用的多个云上部署运行程序发送通知相应的控制周期从属微周期1开始数据帧，边缘安全节点和云上部署运行程序无条件认可此微周期开始信息，边缘安全节点和云上部署运行程序都进入周期控制模式；

2)边缘安全节点在第一个控制周期从属微周期1内，监视是否正确收到多个云上部署运行程序发送的微周期1执行正确应答数据帧；

正确收到，则发送第一个控制周期从属微周期2开始数据帧；

3)多个云上部署运行程序回答了第一个控制周期从属微周期1执行正确应答数据帧后，则在微周期结束时刻前后一段时间窗口内，开启对边缘安全节点发送的第一个控制周期从属微周期2开始数据帧的监视；

8.根据权利要求7所述的方法，其特征在于，当一个边缘安全节点控制多组云上部署运行程序实现多个完整的列控应用时，每组云采用2取2、3取2或者2乘2取2结构，不同云组的云上部署运行程序实现不同完整的列控应用时采用不同结构。

9.根据权利要求8所述的方法，其特征在于，当一个边缘安全节点控制不同云组的云上部署运行程序实现不同完整的列控应用时，在边缘安全节点内部并行设置云组数量的独立控制功能模块；或者，在边缘安全节点内部直接实现能够控制多个云组的单一硬件功能模块，所述单一硬件功能模块在共同时基的驱动下，基于分时控制机制实现控制多个云组功能，时基信号周期为所有控制周期、微周期的公约数。